Los actores de amenazas han comenzado a explotar una falla de seguridad crítica recientemente revelada que afecta los productos BeyondTrust Remote Support (RS) y Privileged Remote Access (PRA), según watchTowr.
«De la noche a la mañana observamos la primera explotación salvaje de BeyondTrust a través de nuestros sensores globales», dijo Ryan Dewhurst, jefe de inteligencia de amenazas en watchTowr, en una publicación en X. «Los atacantes están abusando de get_portal_info para extraer el valor de la empresa x-ns antes de establecer un canal WebSocket».
La vulnerabilidad en cuestión es CVE-2026-1731 (puntuación CVS: 9,9), que podría permitir a un atacante no autenticado lograr la ejecución remota de código mediante el envío de solicitudes especialmente diseñadas.
BeyondTrust señaló la semana pasada que la explotación exitosa de la deficiencia podría permitir que un atacante remoto no autenticado ejecute comandos del sistema operativo en el contexto del usuario del sitio, lo que resultaría en acceso no autorizado, exfiltración de datos e interrupción del servicio.
Ha sido parcheado en las siguientes versiones:
- Soporte remoto: parche BT26-02-RS, 25.3.2 y posteriores
- Acceso remoto privilegiado: parche BT26-02-PRA, 25.1.1 y posteriores
El uso de CVE-2026-1731 demuestra la rapidez con la que los actores de amenazas pueden convertir en armas nuevas vulnerabilidades, reduciendo significativamente la ventana para que los defensores parcheen los sistemas críticos.
CISA agrega 4 fallas al catálogo KEV
El desarrollo se produce cuando la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó cuatro vulnerabilidades a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV), citando evidencia de explotación activa. La lista de vulnerabilidades es la siguiente:
- CVE-2026-20700 (Puntuación CVSS: 7,8): una restricción inadecuada de operaciones dentro de los límites de una vulnerabilidad del búfer de memoria en Apple iOS, macOS, tvOS, watchOS y visionOS que podría permitir que un atacante con capacidad de escritura en memoria ejecute código arbitrario.
- CVE-2025-15556 (Puntuación CVSS: 7,7): una descarga de código sin una vulnerabilidad de verificación de integridad en Notepad++ que podría permitir a un atacante interceptar o redirigir el tráfico de actualización para descargar y ejecutar un instalador controlado por el atacante y conducir a la ejecución de código arbitrario con los privilegios del usuario.
- CVE-2025-40536 (Puntuación CVSS: 8,1): una vulnerabilidad de elusión del control de seguridad en SolarWinds Web Help Desk que podría permitir que un atacante no autenticado obtenga acceso a determinadas funciones restringidas.
- CVE-2024-43468 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección SQL en Microsoft Configuration Manager que podría permitir que un atacante no autenticado ejecute comandos en el servidor y/o la base de datos subyacente mediante el envío de solicitudes especialmente diseñadas.
Vale la pena señalar que Microsoft parcheó CVE-2024-43468 en octubre de 2024 como parte de sus actualizaciones del martes de parches. Actualmente no está claro cómo se aprovecha esta vulnerabilidad en ataques del mundo real. Tampoco hay información sobre la identidad de los actores de amenazas que explotan la falla y la escala de tales esfuerzos.
La adición de CVE-2024-43468 al catálogo KEV sigue a un informe reciente de Microsoft sobre una intrusión de varias etapas que involucró a actores de amenazas que explotaban instancias de SolarWinds Web Help Desk (WHD) expuestas a Internet para obtener acceso inicial y moverse lateralmente a través de la red de la organización hacia otros activos de alto valor.
Sin embargo, el fabricante de Windows dijo que no es evidente si los ataques explotaron CVE-2025-40551, CVE-2025-40536 o CVE-2025-26399, ya que los ataques ocurrieron en diciembre de 2025 y en máquinas vulnerables a los conjuntos de vulnerabilidades tanto antiguos como nuevos.
En cuanto a CVE-2026-20700, Apple reconoció que la deficiencia puede haber sido explotada en un ataque extremadamente sofisticado contra individuos específicos en versiones de iOS anteriores a iOS 26, lo que plantea la posibilidad de que se haya aprovechado para entregar software espía comercial. El gigante tecnológico lo solucionó a principios de esta semana.
Por último, Rapid7 ha atribuido la explotación de CVE-2025-15556 a un actor de amenazas patrocinado por el estado vinculado a China llamado Lotus Blossom (también conocido como Billbug, Bronze Elgin, G0030, Lotus Panda, Raspberry Typhoon, Spring Dragon y Thrip). Se sabe que está activo desde al menos 2009.
Se ha descubierto que los ataques dirigidos generan una puerta trasera previamente indocumentada llamada Chrysalis. Si bien el ataque a la cadena de suministro se solucionó por completo el 2 de diciembre de 2025, se estima que el compromiso del proceso de actualización de Notepad++ duró casi cinco meses entre junio y octubre de 2025.
El equipo de Investigaciones de DomainTools (DTI) describió el incidente como preciso y como una «intrusión silenciosa y metódica» que apunta a una misión encubierta de recopilación de inteligencia diseñada para mantener el ruido operativo lo más bajo posible. También caracterizó al actor de amenazas por tener una inclinación por tiempos de permanencia prolongados y campañas de varios años.
Un aspecto importante de la campaña es que el código fuente de Notepad++ se dejó intacto, en lugar de depender de instaladores troyanizados para entregar las cargas maliciosas. Esto, a su vez, permitió a los atacantes eludir las revisiones del código fuente y las comprobaciones de integridad, lo que les permitió permanecer sin ser detectados durante períodos prolongados, añadió DTI.
«Desde su punto de apoyo dentro de la infraestructura de actualización, los atacantes no enviaron indiscriminadamente código malicioso a la base global de usuarios de Notepad++», dijo. «En cambio, actuaron con moderación, desviando selectivamente el tráfico de actualizaciones hacia un conjunto reducido de objetivos, organizaciones e individuos cuyas posiciones, acceso o roles técnicos los hacían estratégicamente valiosos».
«Al abusar de un mecanismo de actualización legítimo en el que confían específicamente los desarrolladores y administradores, transformaron el mantenimiento de rutina en un punto de entrada encubierto para acceso de alto valor. La campaña refleja la continuidad en el propósito, un enfoque sostenido en la inteligencia estratégica regional, ejecutado con métodos más sofisticados, más sutiles y más difíciles de detectar que en iteraciones anteriores».
A la luz de la explotación activa de estas vulnerabilidades, las agencias del Poder Ejecutivo Civil Federal (FCEB) tienen hasta el 15 de febrero de 2026 para abordar CVE-2025-40536, y hasta el 5 de marzo de 2026 para corregir las tres restantes.